Уязвимость в Libbitcoin Explorer
Из-за известного бага в библиотеке Libbitcoin Explorer (bx) версии 3.x более 120,000 Bitcoin (BTC) кошельков по всему миру могут быть взломаны. Слабый принцип генерации случайных чисел облегчает потенциальным злоумышленникам угадывание семенных фраз. Исследователи безопасности делятся простыми шагами для защиты ваших средств.
Уязвимость была впервые обнаружена в ноябре 2023 года и продолжает делать некостодиальные BTC кошельки уязвимыми для атак методом грубой силы. Обзор потенциального вектора взлома был представлен командой кошелька OneKey 17 октября 2025 года. Уязвимость, раскрытая в инциденте, известном как «Milk Sad», не затрагивает безопасность мнемонических или приватных ключей любых аппаратных или программных кошельков OneKey.
Обзор уязвимости
Проблема возникла из-за того, что Libbitcoin Explorer (bx) 3.x генерировал случайные числа, используя алгоритм Mersenne Twister-32, инициализируемый только системным временем. Поскольку пространство семян было ограничено 2³² значениями, сгенерированные случайные числа оказались более уязвимыми к перебору.
В результате кошельки, сгенерированные с определенными версиями Trust Wallet и непосредственно с Libbitcoin Explorer (bx) 3.x, могут быть восстановлены злоумышленниками. В течение короткого времени атакующие могут извлечь приватные ключи: поскольку пространство семян настолько мало, высокопроизводительный персональный компьютер может перечислить все возможные семена за несколько дней, позволяя злоумышленникам предсказывать приватные ключи, сгенерированные в произвольные моменты времени, и красть активы в больших масштабах.
Таким образом, слабость в генерации случайных чисел, несмотря на то, что она известна уже два года, все еще затрагивает аудиторию on-chain кошельков Bitcoin (BTC).
Рекомендации по безопасности
Чтобы предотвратить атаки на кошельки, пользователи некостодиальных Bitcoin (BTC) адресов, созданных с уязвимыми инструментами в период с 2017 по 2023 годы, должны переместить свои средства в другие хранилища, защищенные технологией криптографически безопасного псевдослучайного генератора чисел (CSPRNG).
Генерация новых семенных фраз — особенно на основе правил BIP 39 — также может помочь повысить уровень безопасности Bitcoin (BTC) кошельков. Рекомендуется провести аудит всех бумажных или аппаратных кошельков, которые могут быть затронуты уязвимостью, известной как «Milk Sad Case». В случае программных кошельков пользователи всегда должны быть уверены, что используют последнюю версию программного обеспечения и операционных систем.
